Die DSGVO ist seit 2018 in Kraft – und trotzdem sind viele kleine Unternehmens-Websites in Deutschland noch immer nicht rechtssicher aufgestellt. Das liegt selten an bösem Willen, sondern meist an Unsicherheit: Was muss wirklich drauf? Was ist optional? Und wo drohen tatsächlich Abmahnungen? Dieser Artikel gibt einen praxisnahen Überblick über das, was 2026 für eine DSGVO-konforme Website wirklich relevant ist – ohne juristisches Kauderwelsch, aber mit dem nötigen Ernst für ein Thema, das man nicht einfach ignorieren sollte.
Impressum: Die unterschätzte Pflichtangabe
Das Impressum ist die häufigste Ursache für Abmahnungen bei kleinen Unternehmens-Websites – nicht weil es fehlt, sondern weil es unvollständig ist. Pflichtangaben für Gewerbetreibende sind: vollständiger Name, Geschäftsadresse, Telefonnummer oder E-Mail-Adresse für direkte Kontaktaufnahme sowie – falls vorhanden – Handelsregisternummer, Umsatzsteuer-ID und bei Freiberuflern die zuständige Kammer mit Berufsbezeichnung.
Wichtig: Das Impressum muss von jeder Seite der Website aus „leicht erkennbar, unmittelbar erreichbar und ständig verfügbar“ sein – also in der Navigation oder im Fußbereich verlinkt, nicht hinter Klapp-Menüs versteckt. Wer sichergehen will, ob sein Impressum vollständig ist, kann den kostenlosen Impressums-Generator der Legal Tribune Online oder ähnliche Dienste nutzen.
Datenschutzerklärung: Was wirklich drinstehen muss
Die Datenschutzerklärung informiert Besucher darüber, welche Daten auf der Website erhoben werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Das klingt abstrakt, ist in der Praxis aber gut umsetzbar: Eine klar gegliederte Erklärung, die alle eingesetzten Dienste benennt – Hosting-Anbieter, Kontaktformular, Analytics, eingebettete Karten – und erklärt, was damit passiert, erfüllt die Anforderungen in der Regel.
Entscheidend ist, dass die Datenschutzerklärung aktuell ist. Wer einen neuen Dienst einbindet oder einen alten austauscht, muss das dort nachziehen. Eine veraltete Erklärung, die Google Analytics beschreibt, obwohl man längst auf ein anderes Tool umgestiegen ist, ist genauso problematisch wie gar keine. Ich empfehle, die Erklärung mindestens einmal jährlich zu prüfen – und bei größeren Änderungen an der Website immer direkt mit anzupassen.
Tipp: Viele Anwälte und Datenschutz-Dienstleister bieten Datenschutzerklärungs-Generatoren an. Eine professionell erstellte Erklärung kostet selten mehr als 50 bis 100 Euro einmalig – und ist die günstigste Versicherung gegen Abmahnungen.
Cookie-Banner: Wann sie notwendig sind und wie sie richtig funktionieren
Cookie-Banner haben in den letzten Jahren eine regelrechte Flut ausgelöst – viele davon schlecht umgesetzt. Das Grundprinzip ist einfach: Wer Cookies einsetzt, die über das technisch Notwendige hinausgehen (also Tracking, Analyse, Marketing), braucht eine echte Einwilligung des Nutzers, bevor diese Cookies gesetzt werden. „Echte Einwilligung“ bedeutet: Der Nutzer muss aktiv zustimmen. Ein Banner, der nur „Wir nutzen Cookies“ anzeigt und keine Ablehnungsoption bietet, erfüllt die Anforderungen nicht.
Wer keine externen Tracking-Tools nutzt und nur technisch notwendige Cookies einsetzt (z. B. für eine Session oder ein Kontaktformular), braucht in der Regel keinen aktiven Banner – muss aber trotzdem in der Datenschutzerklärung darauf hinweisen. Tools wie Cookiebot, Klaro oder der Consentmanager bieten konforme Lösungen, die sich gut in bestehende Websites integrieren lassen.
Kontaktformulare und externe Dienste
Wer ein Kontaktformular auf seiner Website betreibt, verarbeitet personenbezogene Daten – Name, E-Mail-Adresse, Nachrichteninhalt. Das ist erlaubt, muss aber in der Datenschutzerklärung beschrieben sein, und das Formular selbst sollte einen Hinweis enthalten, dass die Daten zur Beantwortung der Anfrage genutzt werden. Wer einen Drittanbieter für Formulare nutzt (wie Typeform oder ein WordPress-Plugin), muss prüfen, ob dieser Anbieter einen Auftragsverarbeitungsvertrag (AVV) anbietet – bei großen Anbietern ist das Standard, bei kleineren sollte man nachhaken.
Dasselbe gilt für eingebettete Google Maps, YouTube-Videos oder Social-Media-Buttons: Alle diese Dienste übertragen Daten an die jeweiligen Anbieter, sobald die Seite geladen wird – also vor jeder Nutzerinteraktion. Die DSGVO-konforme Lösung ist entweder eine Einwilligung vorher einzuholen oder auf sogenannte „2-Klick-Lösungen“ zu setzen, bei denen externe Inhalte erst nach aktivem Klick geladen werden.
Ich baue Websites, die von Anfang an DSGVO-konform aufgesetzt sind – mit korrektem Cookie-Management, Datenschutzerklärung und sicheren Formularen.
Google Analytics & Co. – was erlaubt ist
Google Analytics ist das mit Abstand am häufigsten eingesetzte Webanalyse-Tool – und gleichzeitig eines der rechtlich komplexesten. Die Kurzversion: Google Analytics 4 ist unter bestimmten Voraussetzungen DSGVO-konform nutzbar, erfordert aber eine echte Cookie-Einwilligung vor der Aktivierung, einen AVV mit Google, und idealerweise eine IP-Anonymisierung sowie den Abschluss des EU-US Data Privacy Framework. Wer das nicht sicherstellen kann oder will, dem empfehle ich datenschutzfreundlichere Alternativen wie Plausible oder Matomo, die ohne Cookies und ohne Datentransfer in die USA funktionieren.
Für viele kleine Unternehmen ist die Frage außerdem, ob umfangreiches Analytics überhaupt notwendig ist. Wer nur wissen möchte, wie viele Besucher seine Website hat und woher sie kommen, kommt mit einem einfachen datenschutzkonformen Zähler-Tool völlig aus – ohne den rechtlichen Aufwand der großen Analyse-Plattformen. Welche Website-Entscheidungen wirklich Einfluss auf Besucher und Anfragen haben, erkläre ich auch im Artikel über worauf man bei einer Webdesign-Agentur achten sollte.
Häufige Fragen zur DSGVO-konformen Website
Was sind die wichtigsten DSGVO-Pflichten für eine kleine Unternehmens-Website?
Pflicht sind: ein vollständiges Impressum, eine aktuelle Datenschutzerklärung, ein rechtskonformer Cookie-Banner bei Einsatz von Tracking sowie sichere Kontaktformulare. Wer externe Dienste einbindet, braucht zusätzlich passende Auftragsverarbeitungsverträge.
Brauche ich einen Cookie-Banner, wenn ich kein Tracking nutze?
Nicht unbedingt. Wer ausschließlich technisch notwendige Cookies einsetzt und kein externes Tracking verwendet, benötigt in der Regel keinen aktiven Banner – muss aber trotzdem in der Datenschutzerklärung über Cookies informieren.
Wie oft muss ich meine Datenschutzerklärung aktualisieren?
Immer dann, wenn sich etwas an der Datenverarbeitung ändert: neue Tools, neue Dienstleister, neue Formulare. Mindestens einmal jährlich einen kurzen Check durchführen ist empfehlenswert.
Was passiert, wenn meine Website nicht DSGVO-konform ist?
Im schlimmsten Fall drohen Abmahnungen durch Mitbewerber oder Bußgelder durch Datenschutzbehörden. Für kleine Unternehmen sind es oft formale Fehler wie ein unvollständiges Impressum oder eine veraltete Datenschutzerklärung, die zu Problemen führen – und die vergleichsweise einfach zu vermeiden sind.
Fazit: DSGVO-Konformität ist kein einmaliger Haken
Eine DSGVO-konforme Website ist kein Projekt, das man einmal abschließt und dann vergisst. Tools ändern sich, Gesetze werden präzisiert, und die eigene Website entwickelt sich weiter. Was hilft, ist ein einfaches jährliches Ritual: Impressum prüfen, Datenschutzerklärung gegen die aktuell eingesetzten Dienste abgleichen, Cookie-Banner testen. Das kostet keine zwei Stunden – und gibt die Sicherheit, dass man keine offensichtlichen Einladungen für Abmahner auf der eigenen Seite stehen hat. Wer das Thema bei der nächsten Website-Überarbeitung von Anfang an richtig angehen möchte, findet im Artikel über die richtigen Fragen an eine Webdesign-Agentur hilfreiche Anhaltspunkte.
